ROTEIRO : Instalação e uso da ferramenta Ettercap
ROTEIRO : Instalação e uso da ferramenta Ettercap
ROTEIRO : Instalação e uso da ferramenta Ettercap
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
UC – Segurança em Redes de Computadores<br />
Docente: Eduardo Monks<br />
6° sem – Redes de Computadores<br />
Aluno: Nataniel Vieira<br />
<strong>ROTEIRO</strong> : <strong>Instalação</strong> e <strong>uso</strong> <strong>da</strong> <strong>ferramenta</strong> <strong>Ettercap</strong><br />
Introdução: Neste roteiro, serão abor<strong>da</strong>dos procedimentos para instalação <strong>da</strong><br />
<strong>ferramenta</strong> de análise de redes denomina<strong>da</strong> <strong>Ettercap</strong>, também conhecido como um<br />
poderoso sniffer de rede.<br />
A palavra Sniffer é marca registra<strong>da</strong> <strong>da</strong> Network Associates e refere-se ao produto<br />
“Sniffer Network Analyzer”. Popularmente conhecidos como Sniffers, são os analisadores<br />
de protocolos ou analisadores de rede. O ettercap na<strong>da</strong> mais é que um sniffer<br />
possibilitando capturar <strong>da</strong>dos em uma rede local. Conhecidos como farejadores, os<br />
sniffers capturam o trafego em rede local, proporcionando ao invasor capturar senhas<br />
digita<strong>da</strong>s por outros usuários desta rede. O trafego também pode ser capturado usando a<br />
técnica chama<strong>da</strong> de man in the middle "MITM" que significa Homem no meio.<br />
Para instalar o ettercap no Linux em distribuições basea<strong>da</strong>s no debian/ubuntu:<br />
# sudo apt-get install ettercap-gtk<br />
Para instalar o ettercap no windows:<br />
http://192.168.200.3/software/ANALISADORES/ettercap-NG-0.7.3-win32.exe<br />
OBS: O ettercap encontra-se disponível nas diversas versões <strong>da</strong> distribuição do<br />
BackTrack Linux, que é um sistema operacional preparado com os principais softwares<br />
para realização de Penetration Test.<br />
Após realizar a instalação execute o ettercap, para linux é necessário inicia-lo como root,<br />
caso contrario não será possível selecionar a interface.<br />
Exemplo prático com ettercap:<br />
Neste exemplo será abor<strong>da</strong><strong>da</strong> a técnica de envenenamento ARP ou ARP Poisoning,<br />
primeiramente deve-se preparar um ambiente totalmente controlado com o intuito de<br />
evitar <strong>da</strong>nos a uma rede em produção. Na sequência siga todos os passos elencados.
01) Montar o cenário conforme ilustra a figura 1:<br />
Figura 1<br />
Com o cenário montado verifique a tabela ARP dos hosts com o comando “ arp – a”.<br />
Logo após execute o comando ping entre os hosts e observe novamente a tabela ARP<br />
dos mesmos.<br />
02) Com o ettercap aberto clique na aba Sniff e posteriormente em Unified Sniffing .<br />
Selecione a interface que está conecta<strong>da</strong> à rede que você deseja farejar, clique em"OK".<br />
03) Na aba Host selecionar a opção Scan for hosts.<br />
Os hosts que estão listados abaixo serão os micros que estão on-line na sua rede no<br />
momento.<br />
Volte na aba Hosts e posteriormente em Host list , aparecerão os IPs <strong>da</strong>s máquinas<br />
conecta<strong>da</strong>s e host do atacante não será exibido na host list.<br />
04) Selecione um IP <strong>da</strong> host list para atacar e clique em "Add to Target 1", em segui<strong>da</strong>, o<br />
roteador ou o segundo host desejado e "Add to Target 2".<br />
05) Na sequência deve-se clicar na aba Mitm, a qual significa “man in the middle ou<br />
homem no meio, posteriormente clique em ARP Poisoning e marque a guia "Sniff<br />
remote connections" e clique em "OK"<br />
06) Com o ettercap configurado, basta clicar na aba Start e iniciar o farejador em Start<br />
sniffing.<br />
Pronto! Estamos capturando o trafego de rede. Ou seja, as tabelas ARP dos hosts do<br />
diagrama estão envenena<strong>da</strong>s com o mac address do atacante.<br />
Ao acessar a aba View e posteriormente a Connections é possível ver to<strong>da</strong>s as<br />
conexões e clique duas vezes em um pode ver os <strong>da</strong>dos que ele contém, inclusive<br />
conversas, os usuários e senhas, etc.<br />
Na figura 2 é possível observar o resultado do arp poisoning gerado na rede.
Figura 2<br />
Sendo assim, ao concluir o roteiro revise as tabelas ARP dos hosts envolvidos para<br />
comprovar o resultado gerado na rede.<br />
Medi<strong>da</strong>s preventivas contra ettercap:<br />
- Utilizar serviços criptografados na rede para evitar o sniffing. Usar SSH em vez de Telnet<br />
e SFTP em vez de FTP.<br />
- Acrescentar entra<strong>da</strong>s estáticas na tabela ARP <strong>da</strong>s máquinas do domínio (através de<br />
scripts), evitando assim a técnica de ARP Poisoning e consequentemente o man in the<br />
middle.<br />
- O ArpON pode ser uma boa opção para detectar e evitar ataques de redirecionamento<br />
ARP.<br />
Disponível em: http://www.pentestit.com/2010/06/09/arpon-arp-handler-inspection-tool/<br />
Referências:<br />
ASSUNÇÃO, Marcos Flávio Araújo – Segredos do hacker ético. 4ª edição. Florianópolis:<br />
Visual Books, 2011.<br />
Página oficial do <strong>Ettercap</strong> disponível em: http://ettercap.sourceforge.net/<br />
Vídeo exemplificando o <strong>uso</strong> do ettercap: http://www.youtube.com/watch?<br />
v=1eTb7OnV8X8